Lejister - Búsquedas Ágiles, Respuestas Relevantes

Cita: IJ-DXLII-30

22 de Noviembre de 2018
Compliance ¿Autorregulación o deber?

Sánchez Málaga Carrillo, Armando

Revista Iberoamericana de Derecho Penal y Criminología

Indice

Sumarios

Recientemente, en varios países, se han publicado normas que establecen la responsabilidad de las personas jurídicas cuando sus representantes o trabajadores cometen delitos que las favorecen. En algunos casos, se plantea incluso que el Estado ha delegado en los particulares una importante carga en lo que se refiere a la prevención de determinados delitos que se cometen con ocasión de la actividad empresarial. En ese marco, es pertinente preguntarse si el establecimiento de programas de cumplimiento o de prevención de dichos delitos constituye un deber de las personas jurídicas o si se trata más bien de un proceso de autorregulación de las empresas, que tienen como finalidad promover una cultura de cumplimiento normativo. Al intentar dar respuesta a dicha interrogante, se descubre que la configuración del compliance en la empresa va más allá del establecimiento de códigos de ética y la promoción de una cultura de cumplimiento en la organización. Exige la construcción de verdaderos sistemas de prevención, en los que un órgano especializado establezca procedimientos de capacitación, un canal de denuncias, investigaciones internas, un régimen de sanciones y monitoreo.

Compliance

¿Autorregulación o deber?

Por Armando Sánchez-Málaga Carrillo [1]

I. Derecho penal y compliance [arriba] - [2]

Desde una perspectiva penal, la empresa puede ser concebida como una estructura generadora de riesgos. Por un lado, la empresa implica organización, distribución de competencias y asignación de responsabilidades. Por otro lado, según su actividad, conlleva la creación de situaciones de peligro que ponen en cuestión, no pocas veces, intereses merecedores de protección por parte del ordenamiento penal.[3]

Uno de los riesgos más relevantes de la actividad empresarial consiste en que alguno de sus órganos -directivo, técnico o dependiente- cometa un delito cuya responsabilidad pueda ser trasladada al ente colectivo.[4] En ese marco, durante décadas y desde ramas distintas al Derecho penal, se ha discutido la necesidad de implementar políticas de organización y, específicamente, de buen gobierno corporativo, que generen una cultura de cumplimiento normativo y eviten la comisión de actos ilícitos -incluidos los delitos- en el seno de la empresa.

Cuando Nieto Martín señala que el Derecho penal “ha sido el último invitado a esta fiesta corporativa de la autorregulación”[5], hace referencia al surgimiento de normas que, por una parte, regulan la responsabilidad de la empresa[6] por actos delictivos cometidos por sus representantes e incluso por sus trabajadores y, por otra parte, establecen mecanismos de defensa de la empresa, denominados “programas de cumplimiento” o “modelos de prevención”. Es el caso de la Ley peruana N° 30424, que es la ley que regula la responsabilidad administrativa de las personas jurídicas (en adelante, la norma peruana). De acuerdo a esta norma, las personas jurídicas son responsables administrativamente por determinados delitos (lavado de activos, financiamiento del terrorismo, colusión desleal, tráfico de influencias y algunas formas de cohecho), cuando estos hayan sido cometidos en su nombre o por cuenta de ellas y en su beneficio, directo o indirecto[7], por sus socios, directores, administradores de hecho o derecho, representantes legales o apoderados de la persona jurídica, o de sus filiales o subsidiarias. Asimismo, prevé la responsabilidad de la persona jurídica cuando el delito ha sido cometido por una persona física que, estando sometida a la autoridad y control de las personas mencionadas anteriormente, haya cometido el delito bajo sus órdenes o autorización, o cuando la comisión del delito haya sido posible porque estas últimas incumplieron sus deberes de supervisión, vigilancia y control sobre la actividad encomendada.

Se trata de una norma que, al igual que la italiana en esta materia, asigna la denominación de administrativa a la responsabilidad de las personas jurídicas que se impone como consecuencia de un delito, que se procesa ante un juez penal y que se determina en una sentencia penal. Precisa además, la norma peruana que la responsabilidad administrativa de la persona jurídica es autónoma de la responsabilidad penal de la persona natural, toda vez que las causas que puedan extinguir la acción penal contra esta última no enervan la responsabilidad administrativa del ente colectivo. Al respecto, para el maestro Mir Puig, al establecer la ley “penas” para las personas jurídicas[8], se abandona el principio societas puniri non potest, pero se mantiene vigente el principio societas delinquere non potest, en la medida que la responsabilidad de la persona jurídica depende siempre del hecho de un tercero.[9] En la misma línea, Guzmán Dalbora sostiene que, si los fines de las personas jurídicas se recapitulan en los fines de las personas naturales, entonces la responsabilidad de las primeras tiene que ser una atribución dependiente de la que incumbe a las segundas.[10]

Ahora bien, que sea una atribución dependiente no implica que deba aplicarse una doble sanción al mismo hecho, lo que violentaría el principio de ne bis in idem.[11] Como bien explica Corcoy Bidasolo con relación a la regulación del Código Penal español en esta materia, al establecer la norma que el programa de cumplimiento excluya la responsabilidad penal de la persona jurídica, descarta la imposición de mera responsabilidad objetiva. Explica entonces que: “en tanto el cumplimiento efectivo del compliance puede eximir de responsabilidad a la empresa, ello permite fundamentar la condena en un defecto de organización”.[12]

En esa línea, el art. 12 de la norma peruana establece como circunstancia atenuante de la responsabilidad administrativa de las personas jurídicas la acreditación parcial de los elementos mínimos del modelo de prevención, así como la adopción e implementación, después de la comisión del delito y antes del inicio del juicio oral, de un modelo de prevención. Por su parte, el art. 17 de la misma norma establece que la persona jurídica está exenta de responsabilidad, si con anterioridad a la comisión del delito, adoptó e implementó en su organización un modelo de prevención adecuado a su naturaleza, riesgos, necesidades y características, consistente en medidas de vigilancia y control idóneas para prevenir los delitos previstos en la norma o para reducir significativamente el riesgo de su comisión. Se introduce así la figura del compliance al ordenamiento estrictamente penal.

II. Regulación y compliance [arriba] -

La regulación es una forma de control, a través de principios, reglas y estándares, que gobiernan el comportamiento del mercado y las conductas de las empresas e individuos que participan de la actividad económica. Entre sus fines, se encuentran mantener la confianza en el mercado, proteger a los inversionistas y preservar la integridad del sistema. El medio para lograrlo es a través de la creación de incentivos que reduzcan el riesgo de incumplimiento normativo de los agentes económicos y del establecimiento de medidas coercitivas propias del poder estatal.[13]

Compliance alude al “conjunto de medidas adoptadas por la empresa para controlar dentro de lo exigible los peligros de infracción al ordenamiento jurídico que pueden derivar de su misma actividad”.[14] En la misma línea, Kuhlen sostiene que son: “medidas de prevención a través de las cuales las empresas pretenden asegurar tanto el cumplimiento de las normas aplicables a la misma y a sus trabajadores, como la denuncia y eventual sanción de sus infracciones”.[15] Ahora bien, no solo se trata de promover el cumplimiento de normas estatales (requirements), sino también compromisos asumidos voluntariamente (committments), que suelen materializarse en los códigos de ética de la organización o a través de procesos de normalización[16] y de certificación como los que se basan en normas ISO.[17] En suma, se trata del establecimiento de procesos de identificación y evaluación de riesgos, así como de procedimientos de actuación a fin de prevenir su materialización. En esa medida, es también un instrumento de detección oportuna de conductas, que podrían configurar posibles infracciones o la elevación de riesgos corporativos: legales, operacionales, crediticios, de liquidez, reputacionales, etc.

La relación entre regulación y compliance me permite introducir la cuestión de hasta qué punto la empresa privada puede tener un rol protagónico en la prevención de riesgos, o bien a través de procesos de autorregulación como manifestación de la autonomía particular o bien a través de una delegación parcial que el Estado efectúe en la empresa -específicamente, en su consejo directivo o de administración- de la función de prevención del incumplimiento normativo y, especialmente, del delito. En este último sentido, algunos autores proponen la conveniencia de aprovechar la posición de ventaja que ocupan los participantes del mercado privado, a efectos de atribuirles la responsabilidad de regular y minimizar el riesgo sistémico que ellos mismas generan con su actividad, en una suma de esfuerzos del Estado, el mercado y los particulares.[18] Otros más bien adoptan una perspectiva crítica y cuestionaban la posibilidad de que se delegue una función estatal, que las sanciones de un particular puedan excluir las estatales o hasta qué punto puede recurrir el fiscal a los resultados de investigaciones internas.[19]

Cuando la ley establece que la persona jurídica puede ser eximida de responsabilidad, si adopta e implementa en su organización un modelo de prevención, se plantea la cuestión de la naturaleza jurídica de este último. ¿Tiene la empresa el deber de adoptar dicho modelo? De no hacerlo, ¿sufrirá consecuencias sancionatorias que la afecten gravemente? Cabe preguntarse entonces si la autorregulación a fin de reducir riesgos de incumplimiento normativo es una facultad de las empresas o se trata más bien de la imposición estatal -más o menos explícita- de un deber de contribuir con la reducción del riesgo de comisión de delitos de sus representantes y trabajadores. En suma, ¿es el compliance una forma de autorregulación de las empresas o es una vía a través de la cual el Estado crea deberes de cooperación del ciudadano?

Coca Vila descarta que nos encontremos frente a un caso de autorregulación pura y entiende más bien que el Estado insta al particular a que capte “el mensaje público (en forma de riesgo jurídico-penalmente relevante), a que interprete qué puede y qué no puede suceder en el marco de su empresa, y a que lo transmita de la manera más clara posible a los integrantes de esta”.[20] Ello no obvia el hecho de que una empresa pueda establecer voluntariamente mecanismos de prevención del riesgo, sea por cuestiones de principio de la alta dirección (tone at the top) o sea por los incentivos que puedan existir en el mercado en el que desempeña su actividad. Con relación a estos últimos, cabe destacar los beneficios que podrían llevar a la persona jurídica a tomar la decisión de implementar un programa de cumplimiento.

En primer lugar, la ley establece efectos eximentes y atenuantes de responsabilidad para las empresas que implementan programas de cumplimiento. Fue el caso de Bankia en España, en el que el Juzgado Central de Instrucción de la Audiencia Nacional emitió el auto del 11 de mayo de 2017, mediante el cual se abrió procedimiento contra 34 personas físicas, incluidos los altos directivos de la empresa del sistema financiero, así como contra la propia Bankia y el Banco Financiero y de Ahorros, a quienes se les atribuyó los delitos de falsedad en las cuentas anuales y fraude de inversores. Asimismo, se imputó al auditor externo de Deloitte, Francisco Celma, en virtud de los informes favorables que había elaborado sobre los estados financieros de Bankia durante los meses de la salida a bolsa de la entidad financiera. Sin embargo, se excluyó de responsabilidad penal a esta última empresa auditora por haber acreditado que contaba con un manual de compliance, conforme a los requisitos establecidos en la ley, así como con un sistema de control de calidad adecuado que exigía a su personal el cumplimiento normativo.[21]

El caso de Deloitte contrasta con lo ocurrido años atrás con la auditora Arthur Andersen y su intervención en el famoso caso Enron. Conforme explica Ortiz de Urbina, a fines de 2001, David Duncan, socio de Arthur Andersen, que dirigía la labor de auditoría en Enron, ordenó destruir documentos de la empresa, hecho que admitió el año 2002 ante la Securities and Exchange Commission. Muchos de los clientes abandonaron la empresa, la cual, al no llegar a un acuerdo con el Estado, fue formalmente acusada y perdió gran parte de su negocio.[22] Según Garrett, luego de decidir ir a juicio, Andersen se vio obligada a declararse en bancarrota en parte porque su condena, aún cuando luego fue revertida, implicó la inhabilitación y la incapacidad de proporcionar servicios a diversas entidades.[23]

Cabe añadir que los dispositivos legales en este ámbito no solo excluyen o reducen la responsabilidad de la persona jurídica que implementa programas de cumplimiento, sino que pueden contribuir a la interpretación judicial al momento de valorar la relevancia penal de la conducta de los altos directivos de la empresa.[24] Más allá de ello, como bien anota Artaza, el programa de cumplimiento “debería tender a disminuir el margen de ocasiones en que la empresa es sancionada penalmente mediante la reducción correlativa de la frecuencia con que se llevan a cabo conductas delictivas en el marco del desarrollo de la actividad empresarial”.[25]

En segundo lugar, pueden existir incentivos económicos como consecuencia de la implementación de un programa de cumplimiento. La inversión en prevención de riesgos no solo permite reducir los costos de la gestión de estos últimos, sino que puede influenciar en la cotización de las acciones de la empresa en el mercado de valores (una empresa que tiene menos riesgos legales, financieros, operaciones o reputaciones vale más) y en la valorización de las primas de seguros contra riesgos de la compañía.

En tercer lugar, en ocasiones, se exige a las personas jurídicas contar con programas de cumplimiento, a fin de establecer negocios con empresas extranjeras (por ejemplo, de países pertenecientes a la Unión Europea) o para obtener financiamiento de diversos organismos internacionales. Más allá de ello, no debe dejarse de lado el hecho de que la promoción de prácticas lícitas, transparentes y éticas en la empresa, favorece su reputación, lo que a su vez puede traducirse en la creación de confianza en los clientes, inversionistas y, en general, las partes interesadas en el negocio.

Por otro lado, la implementación del programa de cumplimiento puede darse también con posterioridad a la comisión del delito y el procesamiento de la persona jurídica. En este caso, más allá de que la norma conceda efectos atenuantes, lo que buscaría la organización es reducir el costo reputacional -entre otros más- que la citada contingencia haya podido provocar. Por citar un ejemplo, menciono el caso Siemens, en el que, luego del conocido escándalo mundial de corrupción, se implementaron medidas diversas de cumplimiento normativo. Entre estas, destacaron los cambios de personal, especialmente en los niveles de dirección; las exigencias de indemnización contra antiguos top managers de la empresa; una política de amnistía para mandos medios que cooperaran en la investigación de lo acontecido; el establecimiento de una comisión de compliance y de una comisión de disciplina; la inversión de casi mil millones de euros en la contratación del bufete Debevoise & Plimpton, a fin de que realizara investigaciones internas, descubriera casos de corrupción y departamentos endebles en la organización de la empresa que los favorecieran, y de la empresa de auditoría Deloitte & Touche, entre otros agentes externos; la puesta a disposición de las autoridades de los resultados penalmente relevantes de las investigaciones internas; el establecimiento de cambios organizativos; la formulación de nuevas directivas de compliance accesibles a los trabajadores; la contratación de un compliance monitor externo que evaluara las medidas de compliance; y la creación de un help desk en el que los empleados pudieran informar casos sospechosos (tell us) y consultar acerca de la admisibilidad de determinadas acciones (ask us).[26]

Si, como se ha afirmado, el compliance no es una forma de autorregulación en estricto, se plantea entonces la interrogante de si su implementación constituye un deber de la persona jurídica. En ese punto, Coca Vila asimila el compliance a una “incumbencia” o “carga a la persona jurídica”, negando que se trate de un deber de cumplimiento categórico.[27] Por incumbencia, Sánchez-Ostiz entiende algo distinto al deber. Sostiene que el mensaje al destinatario es más concreto en el deber que en la incumbencia; que el deber puede exigirse directa o indirectamente, mientras que la incumbencia no es exigible hasta que se materialice en el momento de cumplir el deber; y que la infracción del deber se halla prevista como sanción, mientras que la consecuencia de infringir la incumbencia será el restablecimiento de la imputación.[28] En ese sentido, no establecer un programa de prevención de delitos en la empresa no conlleva una sanción para esta última, pero sí limita sus posibilidades de defensa a efectos de excluir su responsabilidad administrativa (o penal) por el hecho delictivo cometido por su representante o trabajador. La lesión de la incumbencia no es entonces la violación de un mandato o de una prohibición, sino la “caducidad de una posibilidad de defensa”.[29] Silva Sánchez añade que el incumplimiento de la incumbencia no solo tiene como efecto la imposibilidad de defensa de la persona jurídica, sino incluso de las personas físicas dotadas de autoridad en ella, a lo que la necesidad de defensa solo surgirá en caso de que alguna persona física lleve a cabo un hecho típicamente antijurídico.[30]

Algunos autores, como el propio Montiel, niegan el carácter neutro del comportamiento contrario a una incumbencia. Critican además que se pase por alto que la principal consecuencia de infringir una incumbencia es la imposición de una pena o de una medida de seguridad.[31] Así, la empresa cuyo representante comete un delito, al no contar con un programa de prevención para ese tipo de delito, se encuentra expuesta a ser responsabilizada y sancionada en atención a una “culpa de organización”[32], que implícitamente se establece en normas como la norma peruana o el Código Penal español. En mi opinión, cabe defender al menos una mínima diferencia entre incumbencia y deber, en la medida que en el primer caso no exista una sanción directa como consecuencia de su no realización, lo que sí ocurre ante la infracción del deber.[33]

En este punto, Silva Sánchez analiza la relación entre compliance y deber de vigilancia jurídico-penal de los órganos de administración de la empresa, sosteniendo que se trata de una relación de género a especie. Explica que las medidas de compliance tienen un objetivo más amplio que el de la evitación de delitos, recurren a medidas que van más allá de la imposición de deberes de vigilancia y de su implantación formal, no puede inferirse de forma automática el cumplimiento cuidadoso del deber jurídico de vigilancia de los administradores de la empresa.[34] Afirma entonces que el órgano de administración que no implementa un programa de cumplimiento donde, por las características de la empresa, resulte necesario, podrá sufrir una sanción penal, en el caso en que se cometa un delito por un subordinado. Concluye que “la implantación de un compliance program constituye un deber jurídico-penalmente reforzado dirigido a personas físicas”, deber que tiene como finalidad neutralizar los defectos de organización de la persona jurídica que favorecen la comisión de hechos delictivos individuales.[35] Bajo esta lógica, la implementación del programa de cumplimiento eficaz permite transformar el deber de supervisión del órgano de administración en un principio de confianza en que no se cometerá un hecho ilícito, salvo que el programa ponga en evidencia que ello puede acontecer. En otro lugar, el mismo autor sostiene que: “la implantación de un modelo de prevención de delitos (…) efectivo y operativo no solo constituye un mecanismo de defensa frente a la atribución de responsabilidad penal a las personas jurídicas, sino también una excelente defensa de los miembros del Consejo”.[36]

En este punto, cabe advertir uno de los problemas del compliance anotado por Nieto Martin[37]. Se trata del “problema de la cosmética”, esto es, de la elaboración de programas de cumplimiento formales e ineficaces, que tienen como única finalidad servir de herramienta de defensa de la empresa ante eventuales imputaciones. Una importante observación al respecto es que la implementación de este tipo de programas de cumplimiento no solo tiene como consecuencia la imposibilidad de que la persona jurídica alegue una defensa, sino que podría tener efectos en la responsabilidad de los órganos de administración y, específicamente, del compliance officer.[38]

Volviendo a la pregunta inicial -¿autorregulación o deber?-, resulta interesante la afirmación de Silva Sánchez, en el sentido de que se trata de un supuesto especial de autorregulación regulada, en el que la regulación administrativa cede el paso a la autorregulación y la infracción de los presupuestos de esta, fijados por la ley penal, conduce directamente a la responsabilidad penal, con lo que el Derecho penal se convierte en la prima ratio de la política estatal en este punto.[39] Podría afirmarse entonces que la implementación del programa de cumplimiento es una incumbencia de la empresa que forma parte de sus procesos de autorregulación regulada y que está directamente vinculada al establecimiento de responsabilidad penal en y de la empresa.

III. Prevención y compliance [arriba] -

En mi opinión, el compliance tiene una naturaleza mixta. Coincido entonces con la propuesta de Nieto Martín, cuando señala que los programas de cumplimiento constituyen “una extraña hibridación de público y privado, de Estado y mundo corporativo”. Cita el ejemplo de los programas anticorrupción, cuyo origen son los delitos de cohecho, pero incorporan estándares propios del soft law como las normas ISO, el protocolo de la OCDE, entre otros. Se trata de una cooperación entre lo público y lo privado, que se produce tanto a nivel de las normas regulatorias, como de su aplicación (enforcement).[40] En conclusión, puede entenderse que el compliance se configura como producto de un sistema de incentivos públicos y privados.

En esa medida, considero oportuna la observación de Artaza, en el sentido de que en la estructura del compliance pueden distinguirse dos ámbitos bien diferenciados: uno referido al fomento de una cultura organizacional tendiente al cumplimiento de la ley y otro, relacionado con el establecimiento de reglas procedimentales de gestión o administración del riesgo.[41] A partir de ello, creo oportuno afirmar que el compliance está conformado por dos bases fundamentales:

1. Una base ético-corporativa, que conlleva el establecimiento de una cultura de cumplimiento o de organización en la empresa. Se trata de un “componente ético asumido por la empresa”, de “una manera de actuar frente a la desmesura en la gestión incontrolada, ante la falta de principios y reglas éticas”.[42] Ahora bien, nos encontramos frente a un valor -el cumplimiento del Derecho- que puede entrar en colisión con la finalidad básica de las empresas -generación de valor para los accionistas-, por lo que, como señala Bacigalupo, hace falta supervisión y estándares de seguridad.[43]

Asuntos de particular importancia en esta materia son el rol de la alta dirección de la empresa, que está llamada a promover una cultura de cumplimiento (tone at the top) y disponer acciones efectivas de cumplimiento (por ejemplo, permitir el financiamiento de las acciones de compliance), y la función del código ético corporativo. Con relación a esto último, explica Nieto Martín que los códigos éticos establecen los valores de la empresa y desarrollan reglas que guían los comportamientos tanto en el interior de la empresa, como en la relación con los distintos grupos de interés. Se trata de documentos que tienen carácter vinculante para la organización y que permiten mejorar la reputación de la entidad, así como generar mayor implicación de los empleados en la empresa.[44]

2. Una base jurídica -con contenido jurídico-penal-, que implica el establecimiento de reglas de administración de los riesgos de incumplimientos normativos, incluidos los penales. En este punto, la materialización del programa de prevención debe estar precedida de la elaboración de un perfil de riesgos propios de la concreta actividad empresarial en el contexto que esta se lleva a cabo. Al respecto, existe un proyecto de reglamento de la norma peruana (en adelante, el proyecto reglamento), en el que se señala con corrección que “el diseño e implementación de un modelo de cumplimiento, independientemente del tamaño o clasificación de las personas jurídicas se elabora sobre la base del resultado de la evaluación de su perfil de riesgo”.[45] A partir de ello, podemos distinguir por lo menos tres momentos.

El primer momento concierne a la identificación de los riesgos. Al respecto, Enseñat alude a la existencia de riesgos relacionados con la actividad empresarial, riesgos relacionados con los productos y servicios, riesgos relacionados con los canales de distribución, riesgos relacionados con las áreas geográficas y riesgos relacionados con las normas de conducta.[46] Algunos criterios específicos para la identificación de riesgos, de acuerdo al proyecto de reglamento, son el tamaño y estructura de la persona jurídica; la complejidad de sus operaciones; sus socios comerciales, intermediarios, consultores o representantes de ventas; su ubicación geográfica y sectores del mercado en los que opera; la naturaleza, intensidad, frecuencia y extensión de las interacciones con funcionarios y servidores públicos; entre otros. Acerca de los riesgos que deben ser identificados, cabe señalar genéricamente los riesgos de comisión de los delitos previstos en la norma. Ahora bien, en específico, será oportuno atender no solo a riesgos legales, sino también a riesgos operacionales (pérdidas que provengan de procesos internos inadecuados), riesgos de crédito (imposibilidad de los clientes o partes interesadas de cumplir con sus obligaciones frente a la persona jurídica), riesgos de liquidez (imposibilidad de atender compromisos de pago en efectivo), riesgos de mercado (frustración de los resultados esperados de las inversiones) y -especialmente- riesgos reputacionales (impacto en los ingresos y el capital producto de la opinión pública negativa).[47]

El segundo momento consiste en la evaluación de los riesgos, la cual se efectúa a partir de dos variables: la probabilidad de que el riesgo se materialice en un concreto daño y el valor concreto de dicho daño.[48] Al respecto, el proyecto de reglamento indica que la evaluación “debe ser entendida como un examen sistémico que permita determinar la probabilidad de que se materialicen los riesgos identificados, así como el impacto que éstos tendrían en la persona jurídica, a fin de establecer los niveles de prioridad que debe asignarse a cada uno de ellos”. La evaluación de riesgos -específicamente penales- exige la elaboración de un mapa o matriz de riesgos, en el que se plasman gráficamente las estimaciones de probabilidad e impacto.[49]

El tercer momento implica la toma de acciones frente a los riesgos identificados y evaluados. Si bien algunos se inclinan por aludir a la existencia de un proceso de “mitigación” de riesgos, se trata de una concepción parcial del asunto. No todos los riesgos en la empresa pueden ni deben ser mitigados. Existen riesgos que se comparten con terceros, que se trasladan o simplemente se asumen, constituyendo estos últimos el riesgo residual de la actividad empresarial.

En este punto, debe tenerse en cuenta que el elemento nuclear del programa de prevención lo tiene el objeto de prevención: el incumplimiento normativo. Si bien es cierto que “un buen programa de cumplimiento es mucho más que un programa de compliance penal” y que “el cumplimiento normativo es cultura de empresa y no mera prevención punitiva”[50], también lo es que el objeto central de prevención, tal como lo recoge la norma peruana o el Código Penal español, son delitos, que además resultan ser los incumplimientos normativos más graves y aquellos que manifiestan la expresión de mayor grado de riesgo de una organización. En esa línea, la US Sentencing Comission define al programa de cumplimiento (Compliance and ethics program) como un programa diseñado para prevenir y detectar conductas delictivas.[51] Se trata de una visión integral y coherente. Si el objeto de prevención es un delito, debe conocerse y analizarse el contenido del mismo. Ahí, se encuentra el núcleo del riesgo. Cosa distinta es que las estrategias y procedimientos de prevención incidan en grados de incumplimiento previo y procuren generar una cultura de cumplimiento en la que el delito quede descartado. Lo cierto es que una cosa no es incompatible con la otra.

Una vez que se dispone del perfil de riesgos y se ha tomado la decisión de qué posición tomar frente a cada riesgo, se inicia la implementación del modelo de prevención. Según la norma peruana, este debe contar con cinco elementos mínimos. En primer lugar, un encargado de prevención designado por el máximo órgano de administración de la persona jurídica o quien haga sus veces, según corresponda, que debe ejercer su función con autonomía. Al respecto, resulta interesante tener en cuenta los estándares de Basilea acerca del departamento de compliance en los bancos, que exigen que se trata de un departamento independiente, que tenga acceso directo a información y personal, que cuente con recursos suficientes para llevar a cabo sus funciones, que esté conformado por personal calificado y experimentado, que asista a la alta dirección en el manejo de riesgos de compliance y que sea sujeto a revisión periódica.[52] En segundo lugar, exige la norma peruana que la persona jurídica cuente con un proceso de identificación, evaluación y mitigación de riesgos para prevenir la comisión de los delitos a través de la persona jurídica. Se trata de una exigencia que debiera ser anterior a la implementación del programa de prevención, ya que hace alusión a lo que he definido como perfil de riesgo. En tercer lugar, la norma peruana prescribe la implementación de procedimientos de denuncia interna (whistleblowing).[53] Llama la atención que no se incluya la exigencia de contar con procesos para la realización de investigaciones internas y la eventual aplicación de sanciones al interior de la empresa.[54] De no contar con ellos, los procedimientos de denuncia podrían no surtir efecto alguno. Por ello, resulta importante incluirlos en todo programa de prevención que pretenda ser eficaz. En cuarto lugar, la norma peruana exige que la persona jurídica difunda y capacite periódicamente a su personal acerca del modelo de prevención. Finalmente, requiere la evaluación y monitoreo continuo del modelo de prevención.

Si bien existe una lista de requisitos mínimos, no se precisa el detalle ni el contenido de cada uno de los elementos del compliance. Se mantiene así la extendida crítica que alude a la falta de seguridad jurídica en esta materia, al no existir suficiente evidencia de en qué consiste el debido control en la empresa.[55] Dicha situación se agrava en casos como el peruano, en el que no se prevé un proceso de certificación del programa de cumplimiento[56] y en el que la autoridad supervisora del mercado de valores será la única competente para informar al fiscal penal acerca de la validez y eficacia de los programas de cumplimiento. Cabe preguntarse qué competencia y conocimiento puede tener dicha autoridad supervisora en materias como el soborno, el lavado de activos o el financiamiento del terrorismo.

Finalizo estos breves apuntes haciendo referencia a la US Sentencing Comission, cuando en el capítulo octavo de su Guidelines Manual, sostiene que todo programa de cumplimiento y ética deberá estar razonablemente diseñado, implementado y ejecutado, de modo que sea generalmente eficaz para prevenir y detectar conductas delictivas.[57] En este punto, puedo concluir que las empresas disponen hoy de nuevas herramientas no solo para prevenir responsabilidad, sino para organizarse mejor y tener mayor control de las acciones de sus miembros. Por su parte, el Derecho penal tiene la oportunidad de mostrar una faceta preventiva a la que, durante muchos años, le ha sido esquiva.

Notas [arriba] -

[1] Doctor en Derecho por la Universidad de Barcelona (España). Magíster en Criminología y Sociología jurídico penal por la Universidad de Barcelona (España). Magíster en Derecho Penal y Ciencias Penales por la Universidad de Barcelona y la Universidad Pompeu Fabra (España). Especialista en “Compliance” y “Financial Crime Prevention” por la International Compliance Association (Reino Unido). Abogado por la Pontificia Universidad Católica del Perú. Profesor del Departamento de Derecho de la Pontificia Universidad Católica del Perú. Socio del estudio Yon Ruesta, Sánchez Málaga & Bassino Abogados. Consultor externo de la Organización Internacional del Trabajo. Correo electrónico: asanchezmalaga@yonruesta.com.
[2] Un breve estudio de la expresión compliance en Balcarce, Berruezo, Criminal compliance y personas jurídicas, Montevideo-Buenos Aires, B de F, 2016, págs. 139-142.
[3] Silva Sánchez, “La eximente de “modelos de prevención de delitos”. Fundamento y bases para una dogmática”, en Ragués i Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Barcelona, Atelier, 2018, pág. 240, hace referencia a quienes consideran la libertad de empresa como una “libertad peligrosa” y señalan que la empresa constituye un estado de cosas especialmente favorecedor de la comisión de delitos por parte de las personas físicas que la conforman, atendiendo a su estructural orientación al lucro, su complejidad técnica y humana, así como a los sesgos cognitivos y volitivos que en ella se pueden generar.
[4] Con relación al concepto de responsabilidad y, en específico, de responsabilidad de la empresa, ver Artaza Varela, La empresa como sujeto de imputación de responsabilidad penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013, págs. 26 y ss.
[5] Nieto Martín, “Problemas fundamentales del cumplimiento normativo en el Derecho penal”, en Kuhlen, Montiel, Ortiz de Uribina (eds.), Compliance y teoría del Derecho penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013, pág. 26.
[6] En España, se establece la responsabilidad penal de las personas jurídicas por primera vez a través de la L.O. N° 5/2010.
[7] Con relación a la ambigüedad de la expresión “en beneficio de la persona jurídica”, resulta imprescindible la obra de Ragués i. Vallès, La actuación en beneficio de la persona jurídica como presupuesto para su responsabilidad penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2017.
[8] Con relación a las sanciones previstas para la persona jurídica, la norma peruana difiere en poco de otras como la española, al incluir la multa proporcional; la inhabilitación; la cancelación de licencias, concesiones, derechos y otras autorizaciones administrativas o municipales; la clausura de sus locales o establecimientos; y la disolución. Acerca de la naturaleza de las sanciones aplicables a las personas jurídicas, ver Eduardo Aboso, Responsabilidad penal de la empresa y corrupción pública. Estudio sobre la responsabilidad penal de la empresa en la participación de delitos de corrupción nacional y trasnacional, Montevideo-Buenos Aires, B de F, 2018, págs. 312 y ss.
[9] Mir Puig, “Las nuevas “penas” para personas jurídicas: Una clase de “penas” sin culpabilidad”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 3.
[10] Guzmán Dalbora, “Filosofía y política de la atribución de responsabilidad penal a las personas jurídicas”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 25.
[11] Nieto Martin, El Derecho penal económico en la era compliance, Valencia, Tirant lo Blanch, 2013, pág. 17.
[12] Corcoy Bidasolo, “Algunas cuestiones político-criminales sobre la corrupción privada. Límites y eficacia de los compliance”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 193. Otra perspectiva expone Silva Sánchez, “La eximente de “modelos de prevención de delitos”. Fundamento y bases para una dogmática”, en Ragués i. Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Barcelona, Atelier, 2018, págs. 235 y ss.
[13] Al respecto, ver ICA Certificate in Compliance. Course Manual, 4° ed., Birmingham, International Compliance Training Ltd., 2016, págs. 3 y 16.
[14] Artaza Varela, “Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad jurídico-penal”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 233.
[15] Kuhlen, “Compliance y Derecho penal en Alemania”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 91.
[16] Con relación al proceso de normalización internacional y, en específico, a la normalización de los sistemas de gestión de compliance, ver Martín Fernández, Santana Lorenzo (coords.), La prevención de los delitos contra la Hacienda Pública y el blanqueo de capitales a través del compliance: Aspectos prácticos, Pamplona, Aranzadi, 2018, págs. 45 y ss.
[17] Lledó Benito, Corporate compliance: La prevención de riesgos penales y delitos en las organizaciones penalmente responsables, Madrid, Dykinson, 2018, pág. 43. Con relación a la norma ISO 19600 sobre Compliance Management Systems y la norma ISO 37001 relativa a sistemas de gestión anti soborno, ver Casanovas Ysla, Compliance Penal normalizado. El estándar UNE 19601, Pamplona, Aranzadi, 2017, págs. 44 y ss.
[18] González de León, “Autorregulación empresarial, ordenamiento jurídico y Derecho penal. Pasado, presente y futuro de los límites jurídico-penales al libre mercado y a la libertad de empresa”, en Silva Sánchez (dir.), Criminalidad de empresa y Compliance. Prevención y reacciones corporativas, Barcelona, Atelier, 2013, pág. 82.
[19] Kuhlen, “Compliance y Derecho penal en Alemania”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, págs. 106-107.
[20] Coca Vila, “¿Programas de cumplimiento como forma de autorregulación regulada?”, en Silva Sánchez (dir.), Criminalidad de empresa y Compliance. Prevención y reacciones corporativas, Barcelona, Atelier, 2013, pág. 70, quien a su vez distingue los casos de autorregulación pura, que se produce cuando las empresas se regulan como creen más conveniente sin atender a condicionantes externos; meta-regulación, que implica un condicionamiento ex ante o ex post de la actividad de autorregulación; y autorregulación regulada, que conlleva la incorporación del ente privado en el proceso de regulación, pero de forma subordinada a los fines predeterminados por el Estado.
[21] Ver: https://cincodias.elp ais.com/cincodias /2017/05/3 0/legal/1496 137322_702 264.html.
[22] Ortiz de Urbina Gimeno, “Responsabilidad penal de las personas jurídicas: The American Way”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, págs. 67-69.
[23] Garrett, “Structural Reform Prosecution”, en Virgina Law Review, 93, 2007, pág. 880.
[24] Acerca de las repercusiones del compliance sobre la responsabilidad penal de las personas físicas, Silva Sánchez, “Deberes de vigilancia y compliance empresarial”, en Kuhlen, Montiel, Ortiz de Urbina (eds.), Compliance y teoría del Derecho penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013, pág. 103, expone que la implementación del programa de cumplimiento eficaz ex ante tiene de entrada un efecto de exclusión de responsabilidad para el órgano de administración. Sin embargo, su implementación hace surgir nuevas posiciones de deber, como la del oficial de cumplimiento, y su gestión defectuosa podría generar nuevos niveles de responsabilidad penal.
[25] Artaza Varela, “Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad jurídico-penal”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, pág. 237.
[26] Kuhlen, “Cuestiones fundamentales de Compliance y Derecho penal”, en Kuhlen, Montiel, Ortiz de Urbina (eds.), Compliance y teoría del Derecho penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013, págs. 59-61.
[27] Coca Vila, “¿Programas de cumplimiento como forma de autorregulación regulada?”, en Silva Sánchez (dir.), Criminalidad de empresa y Compliance. Prevención y reacciones corporativas, Barcelona. Atelier, 2013, pág. 71. El concepto de incumbencia es desarrollado por Hruschka, Imputación y Derecho penal. Estudios sobre la teoría de la imputación, 2° ed., Montevideo-Buenos Aires, B de F, 2009, págs. 56-59, quien lo extrae de la noción de culpa de la obra de Pufendorf, quien sostenía que, al estar absolutamente prohibido cometer delitos, había que evitar todas las ocasiones que, contempladas ex ante, podrían conducir a uno. Al respecto, ver también Sánchez-Málaga, Una teoría para la determinación del dolo. Premisas teóricas e indicadores prácticos, Montevideo-Buenos Aires, B de F, 2018, págs. 162 y ss.
[28] Sánchez-Ostiz, “¿Incumbencias en Derecho penal?-Depende”, en Indret. Revista para el análisis del Derecho, Barcelona, 1, 2015, pág. 22.
[29] Montiel, “¿Existen las Obliegenheiten en el Derecho penal?”, en Indret. Revista para el análisis del Derecho, Barcelona, 4, 2014, pág. 9. Con relación a los supuestos fundamentos desde los cuales sostener los efectos aflictivos de la inobservancia de las incumbencias en el Derecho penal, Varela, Dolo y error. Una propuesta para una imputación auténticamente subjetiva, Barcelona, Bosch, 2016, págs. 146-149, quien hace referencia a diversos principios generales del Derecho, entre los que se encuentran los que dictan que nadie puede alegar su propia torpeza en su beneficio o como descargo, que nadie puede ir en contra de sus propios actos, que nadie puede beneficiarse de ventajas obtenidas de forma impropia y que nadie puede ejercer abusivamente sus derechos.
[30] Silva Sánchez, “La eximente de “modelos de prevención de delitos”. Fundamento y bases para una dogmática”, en Ragués i. Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Barcelona, Atelier, 2018, pág. 243.
[31] Montiel, “¿Existen las Obliegenheiten en el Derecho penal?”, en Indret. Revista para el análisis del Derecho, Barcelona, 4, 2014, págs. 18-19.
[32] Al respecto, ver Seminara, “Compliance y Derecho penal: La experiencia italiana”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, págs. 133 y ss.
[33] Una posición más extrema en Pawlik, Ciudadanía y derecho penal. Fundamentos de la teoría de la pena y del delito en un Estado de libertades, Barcelona, Atelier, 2016, págs. 40-58, quien sostiene que a quien quiere hacer uso de las libertades del orden del Estado de Derecho se le exige que también contribuya a la preservación y defensa de estas libertades, concerniéndole una corresponsabilidad jurídica por la continuidad del estado de libertades en el que vive. En otras palabras, el Estado garantiza a los ciudadanos -incluidas las personas jurídicas- el ejercicio de su libertad, pero les exige en reciprocidad un deber de cooperación. Explica entonces Pawlik que el autor del delito “lesiona su deber de ciudadano de cooperar al mantenimiento del estado existente de libertades”. En consecuencia, su deber primario de cumplimiento de las normas se convierte en un deber secundario de tolerancia, por lo que “tiene que soportar que se confirme a su costa la indisolubilidad del vínculo entre disfrute de la libertad y cumplimiento del deber de cooperación”.
[34] Silva Sánchez, “Deberes de vigilancia y compliance empresarial”, en Kuhlen, Montiel, Ortiz de Urbina (eds.), Compliance y teoría del Derecho penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013, pág. 100.
[35] Silva Sánchez, “Deberes de vigilancia y compliance empresarial”, en Kuhlen et al (ed.), Compliance y teoría del Derecho penal, Marcial Pons, 2013, pág. 101.
[36] Silva Sánchez, “La evolución de la posición de deber del Consejo de Administración. Una observación desde la cultura del Compliance”, en Ragués i Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Atelier, 2018, pág. 50.
[37] Nieto Martin, El Derecho penal económico en la era compliance, Tirant lo Blanch, 2013, págs. 22 y ss. Acerca de la diferencia entre el “modelo cosmético” y el “modelo en lucha”, ver Silva Sánchez, “La eximente de “modelos de prevención de delitos”. Fundamento y bases para una dogmática”, en Ragués i. Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Atelier, 2018, págs. 248-249.
[38] Acerca de la responsabilidad del compliance officer y del establecimiento de deberes de garante, ver Lascuraín Sánchez, “Salvar al oficial Ryan (Sobre la responsabilidad penal del oficial de cumplimiento)”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, B de F, 2014, págs. 301 y ss.
[39] Silva Sánchez, “La eximente de “modelos de prevención de delitos”. Fundamento y bases para una dogmática”, en Ragués i. Vallès, Robles Planas (dirs.), Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial, Atelier, 2018, págs. 244.
[40] Nieto Martin, El Derecho penal económico en la era compliance, Valencia, Tirant lo Blanch, 2013, págs. 13-14.
[41] Artaza Varela, “Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad jurídico-penal”, en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014, págs. 242 y ss.
[42] Lledó Benito, Corporate compliance: La prevención de riesgos penales y delitos en las organizaciones penalmente responsables, Madrid, Dykinson, 2018, pág. 45.
[43] Bacigalupo, Compliance y Derecho penal, Pamplona, Aranzadi, 2011, págs. 33-35.
[44] Nieto Martín (dir.), Manual de cumplimiento penal en la empresa, Valencia, Tirant lo Blanch, 2015, págs. 135 y ss. Acerca de las clases de código de conducta, ver Navas Mondaca, “Los códigos de conducta y el Derecho penal económico”, en Silva Sánchez (dir.), Criminalidad de empresa y Compliance. Prevención y reacciones corporativas, Barcelona, Atelier, 2013, págs. 111 y ss.
[45] Se trata de la Resolución Ministerial N° 0061-2018-JUS. Ver https://www.minju s.gob.pe/wp-co ntent/uplo ads/2018/0 2/RM-N%C2%B00 61-2018-J US1.pdf.
[46] Enseñat de Carlos, Manual del Compliance Officer. Guía práctica para los responsables de Compliance de habla hispana, Pamplona, Aranzadi, 2016, págs. 72 y ss.
[47] ICA Certificate in Compliance. Course Manual, 4° ed., Birmingham, International Compliance Training Ltd., 2016, págs. 87-91.
[48] Coca Vila, “¿Programas de cumplimiento como forma de autorregulación regulada?”, en Silva Sánchez (dir.), Criminalidad de empresa y Compliance. Prevención y reacciones corporativas, Barcelona, Atelier, 2013, págs. 57.
[49] Una fuente importante de información al respecto es la norma ISO 31000. Ver más en Casanovas Ysla, Compliance Penal normalizado. El estándar UNE 19601, Aranzadi, 2017, págs. 155 y ss.
[50] Juanes Peces (dir.), Memento Experto Francis Lefebvre. Compliance Penal, Madrid, Lefebvre-El Derecho, 2017, págs. 28-29.
[51] U.S. Sentencing Commission; Guidelines Manual, Chapter 8 (nov. 2012), SS 8B2.1 (b). https://www.ussc .gov/guid elines/201 5-guideline S-manual/ 2015-c hapter-8.
[52] ICA Certificate in Compliance. Course Manual, 4° ed., Birmingham, International Compliance Training Ltd., 2016, págs. 57.
[53] Al respecto, ver Ragués i. Vallès, Whistleblowing. Una aproximación desde el Derecho penal, Madrid-Barcelona-Buenos Aires-Sao Paulo, Marcial Pons, 2013.
[54] Al respecto, ver Gómez Martín, “Compliance y derechos de los trabajadores”, y Montiel, “Sentido y alcance de las investigaciones internas en la empresa”, ambos en Mir Puig, Corcoy Bidasolo, Gómez Martín, Responsabilidad de la Empresa y Compliance. Programas de prevención, detección y reacción penal, Montevideo-Buenos Aires, B de F, 2014.
[55] Nieto Martín, El Derecho penal económico en la era compliance, Valencia, Tirant lo Blanch, 2013, págs. 22 y ss.
[56] Como sí ocurre por ejemplo en la norma chilena. Ver https://www.leychile.c l/Navegar?idN orma=1008668.
[57] U.S. Sentencing Commission; Guidelines Manual, Chapter 8 (nov. 2012), SS 8B2.1 (b). https://www.us sc .gov/gui deline es /2015-guideli nes- manual /2015-c hapter-8.